INSTITUTO DE DEPORTE Y RECREACION DEL META · El Instituto de Deporte y Recreación del Meta...
Transcript of INSTITUTO DE DEPORTE Y RECREACION DEL META · El Instituto de Deporte y Recreación del Meta...
INSTITUTO DE DEPORTE Y RECREACION DEL META
POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Versión: 01 Emisión y vigencia: 28-01-2019 Código: Página 1 de 19
NIT. 822002510-6
Sede Administrativa Villa Olímpica
Carrera 16 No. 24-03 Barrio Olimpico Popular
Teléfonos: 6701469-6701465 V/cio (Meta)
Página Web: www.idermeta.gov.co
CONTENIDO
POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN ......................... 2
NIVEL DE CUMPLIMIENTO ................................................................................................................. 2
IMPLEMENTACIÓN DE POLITICAS DE SEGURIDAD DE LA INFORMACIÓN ............................ 4
JUSTIFICACIÓN .................................................................................................................................... 4
OBJETIVO GENERAL ............................................................................................................................... 8
ALCANCE .................................................................................................................................................... 8
ROLES Y RESPONSABILIDADES ......................................................................................................... 8
CUMPLIMIENTO ........................................................................................................................................ 9
COMUNICACIÓN ....................................................................................................................................... 9
MONITOREO .............................................................................................................................................. 9
DESCRIPCIÓN DE LAS POLÍTICAS...................................................................................................... 9
GESTIÓN DE ACTIVOS ..................................................................................................................... 10
Política para la Identificación, Clasificación y Control de Activos de Información. ................ 10
CONTROL DE ACCESO .................................................................................................................... 10
Política de Acceso a Redes y Recursos de Red. ........................................................................ 10
Política de Administración de Acceso de Usuarios. ................................................................... 11
Política de Control de Acceso a Sistemas de Información y Aplicativos. ............................. 12
Políticas de Seguridad Física. ........................................................................................................ 13
Política de Seguridad para los Equipos. ....................................................................................... 14
Política de Uso Adecuado de Internet.. ........................................................................................ 15
PRIVACIDAD Y CONFIDENCIALIDAD ............................................................................................ 16
Política de Tratamiento y Protección de Datos Personales. ..................................................... 16
DISPONIBILIDAD DEL SERVICIO E INFORMACIÓN. ................................................................. 17
Política de Continuidad, Contingencia y Recuperación de la Información. ............................ 17
Copias de Seguridad. ...................................................................................................................... 17
INSTITUTO DE DEPORTE Y RECREACION DEL META
POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Versión: 01 Emisión y vigencia: 28-01-2019 Código: Página 2 de 19
NIT. 822002510-6
Sede Administrativa Villa Olímpica
Carrera 16 No. 24-03 Barrio Olimpico Popular
Teléfonos: 6701469-6701465 V/cio (Meta)
Página Web: www.idermeta.gov.co
POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
El Instituto de Deporte y Recreación del Meta, entendiendo la importancia de una
adecuada gestión de la información, se ha comprometido con la implementación de un
sistema de gestión de seguridad de la información buscando establecer un marco de
confianza en el ejercicio de sus deberes con el Estado y los ciudadanos, todo
enmarcado en el estricto cumplimiento de las leyes y en concordancia con la misión y
visión de la entidad.
Para el Instituto de Deporte y Recreación del Meta, la protección de la información
busca la disminución del impacto generado sobre sus activos, por los riesgos
identificados de manera sistemática con objeto de mantener un nivel de exposición que
permita responder por la integridad, confidencialidad y la disponibilidad de la misma,
acorde con las necesidades de los diferentes grupos de interés identificados.
El Instituto de Deporte y Recreación del Meta, para asegurar el direccionamiento
estratégico de la Entidad, establece la compatibilidad de la política y de los objetivos de
seguridad de la información, estos últimos corresponden a:
Minimizar el riesgo en las funciones más importantes de la entidad.
Cumplir con los principios de seguridad de la información.
Cumplir con los principios de la función administrativa.
Mantener la confianza de la ciudadanía y empleados.
Apoyar la innovación tecnológica.
Implementar el Sistema de Gestión de Seguridad de la Información.
Proteger los activos tecnológicos.
Establecer las políticas, procedimientos e instructivos en materia de seguridad
de la información.
Fortalecer la cultura de seguridad de la información en los funcionarios, terceros,
aprendices, practicantes y clientes del Instituto de Deporte y Recreación del
Meta
Garantizar la continuidad de los procesos frente a incidentes.
NIVEL DE CUMPLIMIENTO
Todas las personas cubiertas por el alcance y aplicabilidad deberán da cumplimiento
un 100% de la política.
A continuación se establecen las políticas que soportan el SGSI del Instituto de Deporte
y Recreación del Meta.
1. El Instituto de Deporte y Recreación del Meta ha decidido definir, implementar,
operar y mejorar de forma continua un Sistema de Gestión de Seguridad de la
INSTITUTO DE DEPORTE Y RECREACION DEL META
POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Versión: 01 Emisión y vigencia: 28-01-2019 Código: Página 3 de 19
NIT. 822002510-6
Sede Administrativa Villa Olímpica
Carrera 16 No. 24-03 Barrio Olimpico Popular
Teléfonos: 6701469-6701465 V/cio (Meta)
Página Web: www.idermeta.gov.co
Información, soportado en lineamientos claros alineados a las necesidades del
Instituto, y a los requerimientos regulatorios que le aplican a su naturaleza.
2. Las responsabilidades frente a la seguridad de la información serán definidas,
compartidas, publicadas y aceptadas por cada uno de los empleados,
contratistas o terceros.
3. El Instituto de Deporte y Recreación del Meta protegerá la información generada,
procesada o resguardada por los procesos y activos de información que hacen
parte de los mismos.
4. El Instituto de Deporte y Recreación del Meta protegerá la información creada,
procesada, transmitida o resguardada por sus procesos de negocio, con el fin de
minimizar impactos financieros, operativos o legales debido a un uso incorrecto
de esta. Para ello es fundamental la aplicación de controles de acuerdo con la
clasificación de la información de su propiedad o en custodia.
5. El Instituto de Deporte y Recreación del Meta protegerá su información de las
amenazas originadas por parte del personal.
6. El Instituto de Deporte y Recreación del Meta protegerá las instalaciones de
procesamiento y la infraestructura tecnológica que soporta sus procesos críticos.
7. El Instituto de Deporte y Recreación del Meta controlará la operación de sus
garantizando la seguridad de los recursos tecnológicos y las redes de datos.
8. El Instituto de Deporte y Recreación del Meta implementará control de acceso a
la información, sistemas y recursos de red.
9. El Instituto de Deporte y Recreación del Meta garantizará que la seguridad sea
parte integral del ciclo de vida de los sistemas de información.
10. El Instituto de Deporte y Recreación del Meta garantizará a través de una
adecuada gestión de los eventos de seguridad y las debilidades asociadas con
los sistemas de información una mejora efectiva de su modelo de seguridad.
11. El Instituto de Deporte y Recreación del Meta garantizará la disponibilidad de sus
procesos de negocio y la continuidad de su operación basada en el impacto que
pueden generar los eventos.
12. El Instituto de Deporte y Recreación del Meta garantizará el cumplimiento de las
obligaciones legales, regulatorias y contractuales establecidas.
INSTITUTO DE DEPORTE Y RECREACION DEL META
POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Versión: 01 Emisión y vigencia: 28-01-2019 Código: Página 4 de 19
NIT. 822002510-6
Sede Administrativa Villa Olímpica
Carrera 16 No. 24-03 Barrio Olimpico Popular
Teléfonos: 6701469-6701465 V/cio (Meta)
Página Web: www.idermeta.gov.co
IMPLEMENTACIÓN DE POLITICAS DE SEGURIDAD DE LA INFORMACIÓN
JUSTIFICACIÓN
El Instituto de Deporte y Recreación del Meta con el propósito de salvaguar la
información de la entidad en todos sus aspectos, garantizando la seguridad de los
datos y el cumplimiento de las normas legales, ha establecido realizar un Plan de
Seguridad y Privacidad de la información con el ánimo de que no se presenten
pérdidas, robos, accesos no autorizados y duplicación de la misma, igualmente
promueve una política de seguridad de la información física y digital de acuerdo a la
caracterización de los usuarios tanto internos como externos.
La seguridad de la información se entiende como la preservación de las siguientes
características:
Confidencialidad: Se garantiza que la información sea accesible sólo a aquellas
personas autorizadas a tener acceso a la misma.
Integridad: Se salvaguarda la exactitud y totalidad de la información y los métodos
de procesamiento.
Disponibilidad: Se garantiza que los usuarios autorizados tengan acceso a la
información y a los recursos relacionados con la misma, toda vez que lo requieran.
Adicionalmente, debe considerarse los conceptos de:
Auditabilidad: Define que todos los eventos de un sistema deben poder ser
registrados para su control posterior.
Protección a la duplicación: Consiste en asegurar que una transacción sólo se
realiza una vez, a menos que se especifique lo contrario. Impedir que se grabe
una transacción para luego reproducirla, con el objeto de simular múltiples
peticiones del mismo remitente original.
No repudio: Se refiere a evitar que una entidad que haya enviado o recibido
información alegue ante terceros que no la envió o recibió.
Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o
disposiciones a las que está sujeto el Organismo.
Confiabilidad de la Información: La información generada sea adecuada para
sustentar la toma de decisiones y la ejecución de las misiones y funciones.
A los efectos de una correcta interpretación del presente Plan, se realizan las
siguientes definiciones:
Acciones Asociadas: Son las acciones que se deben tomar posterior a
determinar las opciones de manejo del riesgo (asumir, reducir, evitar compartir o
transferir), dependiendo de la evaluación del riesgo residual, orientadas a
fortalecer los controles identificados.
INSTITUTO DE DEPORTE Y RECREACION DEL META
POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Versión: 01 Emisión y vigencia: 28-01-2019 Código: Página 5 de 19
NIT. 822002510-6
Sede Administrativa Villa Olímpica
Carrera 16 No. 24-03 Barrio Olimpico Popular
Teléfonos: 6701469-6701465 V/cio (Meta)
Página Web: www.idermeta.gov.co
Acceso a la Información Pública: Derecho fundamental que tienen todas las
personas de conocer sobre la existencia y acceder a la información pública en
posesión o bajo control de sujetos obligados. (Ley 1712 de 2014, art 4).
Activo: En relación con la seguridad de la información, se refiere a cualquier
información o elemento relacionado con el tratamiento de la misma que tenga
valor para la organización.
Activo de Información: En relación con la privacidad de la información, se
refiere al activo que contiene información pública que el sujeto obligado genere,
obtenga, adquiera, transforme o controle en su calidad de tal.
Análisis del Riesgo: Etapa de la administración del riesgo, donde se establece
la probabilidad de ocurrencia y el impacto del riesgo antes de determinar los
controles (análisis del riesgo inherente).
Archivo: Conjunto de documentos, sea cual fuere su fecha, forma y soporte
material, acumulados en un proceso natural por una persona o entidad pública o
privada, en el transcurso de su gestión, conservados respetando aquel orden
para servir como testimonio e información a la persona institución que los
produce y a los ciudadanos, o como fuentes de la historia.
Administración de Riesgos: Conjunto de etapas secuenciales que se deben
desarrollar para el adecuado tratamiento de los riesgos.
Amenazas: Causa potencial de un incidente no deseado, que puede provocar
daños a un sistema o a la organización.
Análisis del Riesgo: Proceso para comprender la naturaleza del riesgo y
determinar el nivel de riesgo.
Asumir el Riesgo: Opción de manejo donde se acepta la pérdida residual
probable, si el riesgo se materializa.
Auditoria: Proceso sistemático, independiente y documentado para obtener
evidencias de auditoria y determinar el grado en el que se cumplen los criterios
de auditoria.
Autorización: Consentimiento previo, expreso e informado del Titular para llevar
a cabo el Tratamiento de datos personales.
Bases de Datos Personales: Conjunto organizado de datos personales que sea
objeto de Tratamiento (Ley 1581 de 2012, art 3).
Causa: Medios, circunstancias y/o agentes que generan riesgos.
Calificación del Riesgo: Estimación de la probabilidad de ocurrencia del riesgo
y el impacto que puede causar su materialización.
Ciberseguridad: Capacidad del Estado para minimizar el nivel de riesgo al que
están expuestos los ciudadanos, ante amenazas o incidentes de naturaleza
cibernética.
Ciberespacio: Es el ambiente tanto físico como virtual compuesto por
computadores, sistemas computacionales, programas computacionales
(software), redes de telecomunicaciones, datos e información que es utilizado
para la interacción entre usuarios.
INSTITUTO DE DEPORTE Y RECREACION DEL META
POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Versión: 01 Emisión y vigencia: 28-01-2019 Código: Página 6 de 19
NIT. 822002510-6
Sede Administrativa Villa Olímpica
Carrera 16 No. 24-03 Barrio Olimpico Popular
Teléfonos: 6701469-6701465 V/cio (Meta)
Página Web: www.idermeta.gov.co
Consecuencia: Efectos que se pueden presentar cuando un riesgo se
materializa.
Contexto Estratégico: Son las condiciones internas y del entorno, que pueden
generar eventos que originan oportunidades o afectan negativamente el
cumplimiento de la misión y objetivos de una institución.
Control: Acción o conjunto de acciones que minimiza la probabilidad de
ocurrencia de un riesgo o el impacto producido ante su materialización.
Control Preventivo: Acción o conjunto de acciones que eliminan o mitigan las
causas del riesgo; está orientado a disminuir la probabilidad de ocurrencia del
riesgo. Control correctivo: acción o conjunto de acciones que eliminan o
mitigan las consecuencias del riesgo; está orientado a disminuir el nivel de
impacto del riesgo.
Datos Abiertos: Son todos aquellos datos primarios o sin procesar, que se
encuentran en formatos estándar e interoperables que facilitan su acceso y
reutilización, los cuales están bajo la custodia de las entidades públicas o
privadas que cumplen con funciones públicas y que son puestos a disposición
de cualquier ciudadano, de forma libre y sin restricciones, con el fin de que
terceros puedan reutilizarlos y crear servicios derivados de los mismos (Ley
1712 de 2014, art 6).
Datos Personales: Cualquier información vinculada o que pueda asociarse a
una o varias personas naturales determinadas o determinables. (Ley 1581 de
2012, art 3).
Datos Personales Privados: Es el dato que por su naturaleza íntima o
reservada sólo es relevante para el titular. (Ley 1581 de 2012, art 3 literal h).
Debilidad: Situación interna que la entidad puede controlar y que puede afectar
su operación.
Derecho a la Intimidad: Derecho fundamental cuyo núcleo esencial lo
constituye la existencia y goce de una órbita reservada en cada persona, exenta
de la intervención del poder del Estado o de las intromisiones arbitrarias de la
sociedad, que le permite a dicho individuo el pleno desarrollo de su vida
personal, espiritual y cultural (Jurisprudencia Corte Constitucional).
Evaluación del Riesgo: Resultado del cruce cuantitativo de las calificaciones de
probabilidad e impacto, para establecer la zona donde se ubicará el riesgo.
Evitar el Riesgo: Opción de manejo que determina la formulación de acciones
donde se prevenga la materialización del riesgo mediante el fortalecimiento de
controles identificado.
Frecuencia: Ocurrencia de un evento expresado como la cantidad de veces que
ha ocurrido un evento en un tiempo dado.
Información: se refiere a toda comunicación o representación de conocimiento
como datos, en cualquier forma, con inclusión de formas textuales, numéricas,
gráficas, cartográficas, narrativas o audiovisuales, y en cualquier medio, ya sea
magnético, en papel, en pantallas de computadoras, audiovisual u otro.
INSTITUTO DE DEPORTE Y RECREACION DEL META
POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Versión: 01 Emisión y vigencia: 28-01-2019 Código: Página 7 de 19
NIT. 822002510-6
Sede Administrativa Villa Olímpica
Carrera 16 No. 24-03 Barrio Olimpico Popular
Teléfonos: 6701469-6701465 V/cio (Meta)
Página Web: www.idermeta.gov.co
Información Publica Clasificada: Es aquella información que estando en poder
o custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito propio,
particular y privado o semiprivado de una persona natural o jurídica por lo que su
acceso podrá ser negado o exceptuado, siempre que se trate de las
circunstancias legítimas y necesarias y los derechos particulares o privados
consagrados en el artículo 18 de la Ley 1712 de 2014. (Ley 1712 de 2014, art 6).
Información Publica Reservada: Es aquella información que estando en poder
o custodia de un sujeto obligado en su calidad de tal, es exceptuada de acceso a
la ciudadanía por daño a intereses públicos y bajo cumplimiento de la totalidad
de los requisitos consagrados en el artículo 19 de la Ley 1712 de 2014. (Ley
1712 de 2014, art 6).
Identificación del Riesgo: Etapa de la administración del riesgo donde se
establece el riesgo con sus causas (asociadas a factores externos e internos de
riesgo), consecuencias y se clasifica de acuerdo con los tipos de riesgo
definidos.
Impacto: Medida para estimar cuantitativa y cualitativamente el posible efecto
de la materialización del riesgo.
Materialización del Riesgo: Ocurrencia del riesgo identificado.
Opciones de Manejo: Posibilidades disponibles para administrar el riesgo
posterior a la valoración de los controles definidos (asumir, reducir, evitar
compartir o transferir el riesgo residual).
Plan de Contingencia: Conjunto de acciones inmediatas, recursos,
responsables y tiempos establecidos para hacer frente a la materialización del
riesgo y garantizar la continuidad del servicio.
Plan de Tratamiento de Riesgo: Documento que define las acciones para
gestionar los riesgos de seguridad de la información inaceptables e implantar los
controles necesarios para proteger la misma.
Probabilidad: Medida para estimar cuantitativa y cualitativamente la posibilidad
de ocurrencia del riesgo.
Procedimiento: Conjunto de especificaciones, relaciones, responsabilidades,
controles y ordenamiento de las actividades y tareas requeridas para cumplir con
el proceso.
Proceso: Conjunto de entradas tangibles o intangibles, suministradas por un
proveedor, a estas entradas se les asigna recursos y se aplican controles,
obteniendo salidas tangibles o intangibles, destinadas a un usuario, generando
un impacto en estos. Se clasifican en estratégicos, misionales, de apoyo y de
evaluación.
Riesgo: Eventualidad que tendrá un impacto negativo sobre los objetivos
institucionales o del proceso.
Sistema de Gestión de Seguridad de la Información SGSI: Conjunto de
elementos interrelacionados o interactuantes (estructura organizativa, políticas,
planificación de actividades, responsabilidades, procesos, procedimientos y
recursos) que utiliza una organización para establecer una política y unos
INSTITUTO DE DEPORTE Y RECREACION DEL META
POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Versión: 01 Emisión y vigencia: 28-01-2019 Código: Página 8 de 19
NIT. 822002510-6
Sede Administrativa Villa Olímpica
Carrera 16 No. 24-03 Barrio Olimpico Popular
Teléfonos: 6701469-6701465 V/cio (Meta)
Página Web: www.idermeta.gov.co
objetivos de seguridad de la información y alcanzar dichos objetivos, basándose
en un enfoque de gestión y de mejora continua.
Sistema de Información: Se refiere a un conjunto independiente de recursos de
información organizados para la recopilación, procesamiento, mantenimiento,
transmisión y difusión de información según determinados procedimientos, tanto
automatizados como manuales.
Tecnología de la Información: Se refiere al hardware y software operados la
entidad o por un tercero que procese información en su nombre, para llevar a
cabo una función propia del Organismo, sin tener en cuenta la tecnología
utilizada, ya se trate de computación de datos, telecomunicaciones u otro tipo.
OBJETIVO GENERAL
Definir los mecanismos y todas las medidas necesarias por parte del Instituto de
Deporte y Recreación del Meta, tanto técnica, lógica, física, legal y ambiental para la
protección de los activos de información, los recursos y la tecnología de la entidad, con
el propósito de evitar accesos no autorizados, divulgación, duplicación, interrupción de
sistemas, modificación, destrucción, pérdida, robo, o mal uso, que se pueda producir de
forma intencional o accidental, frente a amenazas internas o externas, asegurando el
cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad
de la información.
ALCANCE
El plan de tratamiento de riesgos de seguridad y privacidad de la información son
aplicables a todos los funcionarios del Instituto de Deporte y Recreación del Meta, a
sus recursos, procesos y procedimientos tanto interno como externo así mismo al
personal vinculado a la entidad y terceras partes que usen activos de información que
sean propiedad de la entidad.
ROLES Y RESPONSABILIDADES
Es responsabilidad del Instituto de Deporte y Recreación del Meta y el Comité de
Modelo Integrado de Gestión y Planeación MIPG la implementación, aplicación,
seguimiento y autorizaciones de la política del Plan de Seguridad y Privacidad de la
información en las diferentes áreas y procesos de la entidad, además garantiza el
apoyo y el uso de la Política de Seguridad de la Información como parte de su
herramienta de gestión, la cual debe ser aplicada de forma obligatoria por todos los
funcionarios para el cumplimiento de los objetivos.
El Comité de Modelo Integrado de Gestión y Planeación MIPG estará compuesto por:
Director General.
Jefe de la Oficina de Planeación y Asuntos Administrativos.
Subdirector Administrativo y Financiero.
INSTITUTO DE DEPORTE Y RECREACION DEL META
POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Versión: 01 Emisión y vigencia: 28-01-2019 Código: Página 9 de 19
NIT. 822002510-6
Sede Administrativa Villa Olímpica
Carrera 16 No. 24-03 Barrio Olimpico Popular
Teléfonos: 6701469-6701465 V/cio (Meta)
Página Web: www.idermeta.gov.co
Este comité deberá revisar y actualizar esta política anualmente presentando las
propuestas a la alta dirección para su aprobación.
CUMPLIMIENTO
El cumplimiento de la Política de Seguridad y Privacidad de la Información es
obligatorio. Si los funcionarios de la entidad o terceros violan este plan, el Instituto de
Deporte y Recreación del Meta, se reserva el derecho de tomar las medidas
correspondientes.
COMUNICACIÓN
Mediante socialización a todos los funcionarios del Instituto de Deporte y Recreación
del Meta se dará a conocer el contenido del documento de las políticas de seguridad,
así mismo se deberá informar a los contratistas y/o terceros en el momento que se
requiera con el propósito de realizar los ajustes y la retroalimentación necesaria para
dar cumplimiento efectivo al plan.
Todos los funcionarios, contratistas y/o terceros de la entidad deben conocer la
existencia de las políticas, la obligatoriedad de su cumplimiento, la ubicación física del
documento estará a cargo del Sistema de Gestión Integrado para que sean
consultados en el momento que se requieran, igualmente estarán alojados en la página
de la entidad www.idermeta.gov.co.
MONITOREO
Se crearán los mecanismos y los indicadores correspondientes a la política de
seguridad con el fin de determinar el cumplimiento de las mismas para establecer qué
modificaciones o adiciones deben hacerse, este monitoreo debe realizarse como
mínimo una vez al año o cuando sea necesario.
DESCRIPCIÓN DE LAS POLÍTICAS
El Instituto de Deporte y Recreación del Meta en todas sus áreas y procesos cuenta
con información, reservada, relevante, privilegiada e importante, es decir que esta
información es el principal activo de la entidad para el desarrollo de todas sus
actividades por lo que se hace necesario y se debe proteger conforme a los criterios y
principios de los sistemas de información, como son integridad, disponibilidad y
confidencialidad de la información. De acuerdo a esta Política se divulgan los objetivos
y alcances de seguridad de la información de la entidad, que se logran por medio de la
aplicación de controles de seguridad, con el fin de mantener y gestionar el riesgo como
lo establece la política de riesgos institucional. Este documento tiene el objetivo de
garantizar la continuidad de los servicios, minimizar la probabilidad de explotar las
amenazas, y asegurar el eficiente cumplimiento de los objetivos institucionales y de las
obligaciones legales conforme al ordenamiento jurídico vigente y los requisitos de
seguridad destinados a impedir infracciones y violaciones de seguridad en el Instituto
de Deporte y Recreación del Meta.
INSTITUTO DE DEPORTE Y RECREACION DEL META
POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Versión: 01 Emisión y vigencia: 28-01-2019 Código: Página 10 de 19
NIT. 822002510-6
Sede Administrativa Villa Olímpica
Carrera 16 No. 24-03 Barrio Olimpico Popular
Teléfonos: 6701469-6701465 V/cio (Meta)
Página Web: www.idermeta.gov.co
GESTIÓN DE ACTIVOS
Política para la Identificación, Clasificación y Control de Activos de Información.
El Instituto de Deporte y Recreación del Meta a través del Comité de Modelo Integrado
de Gestión y Planeación MIPG realizará la supervisión de cada proceso, el cual debe
aprobar el inventario de los activos de información que procesa y produce la entidad,
estas características del inventario deben establecer la clasificación, valoración,
ubicación y acceso de la información, correspondiendo a Gestión de TIC y a Gestión
Documental brindar herramientas que permitan la administración del inventario por
cada área, garantizando la disponibilidad, integridad y confidencialidad de los datos que
lo componen.
Pautas para Tener en Cuenta.
Los usuarios deben acatar los lineamientos guía de clasificación de la
Información para el acceso, divulgación, almacenamiento, copia, transmisión,
etiquetado y eliminación de la información contenida en los recursos
tecnológicos, así como de la información física de la entidad.
La información física y digital del Instituto de Deporte y Recreación del Meta
debe tener un periodo de almacenamiento que puede ser dictaminado por
requerimientos legales o misionales; este período debe ser indicado en las
tablas de retención documental y cuando se cumpla el periodo de conservación,
se le debe dar el tratamiento de acuerdo a la disposición final definida por la
entidad.
Los usuarios deben tener en cuenta estas consideraciones cuando impriman,
escaneen, saquen copias y envíen faxes: verificar las áreas adyacentes a
impresoras, escáneres, fotocopiadoras y máquinas de fax para asegurarse que
no quedaron documentos relacionados o adicionales; asimismo, recoger de las
impresoras, escáneres, fotocopiadoras y máquinas de fax, inmediatamente los
documentos confidenciales para evitar su divulgación no autorizada o mal
intencionada.
Tanto los funcionarios como el personal provisto por terceras partes deben
asegurarse que en el momento de ausentarse de su puesto de trabajo, sus
escritorios se encuentren libres de documentos y medios de almacenamiento,
utilizados para el desempeño de sus labores; estos deben contar con las
protecciones de seguridad necesarias de acuerdo con su nivel de clasificación.
La información que se encuentra en documentos físicos debe ser protegida, a
través de controles de acceso físico y las condiciones adecuadas de
almacenamiento y resguardo.
CONTROL DE ACCESO
Política de Acceso a Redes y Recursos de Red. El Ingeniero de sistemas del
Instituto de Deporte y Recreación del Meta, como responsable de las redes de datos y
INSTITUTO DE DEPORTE Y RECREACION DEL META
POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Versión: 01 Emisión y vigencia: 28-01-2019 Código: Página 11 de 19
NIT. 822002510-6
Sede Administrativa Villa Olímpica
Carrera 16 No. 24-03 Barrio Olimpico Popular
Teléfonos: 6701469-6701465 V/cio (Meta)
Página Web: www.idermeta.gov.co
los recursos de red de la entidad, debe propender porque dichas redes sean
debidamente protegidas contra accesos no autorizados a través de mecanismos de
control de acceso lógico.
Pautas para Tener en Cuenta.
El proceso Gestión de TIC debe asegurar que las redes inalámbricas del Instituto
de Deporte y Recreación del Meta cuenten con métodos de autenticación que
evite accesos no autorizados.
El proceso Gestión de TIC debe establecer controles para la identificación y
autenticación de los usuarios provistos por terceras partes en las redes o
recursos de red del Instituto de Deporte y Recreación del Meta, así como velar
por la aceptación de las responsabilidades de dichos terceros. Además, se debe
formalizar la aceptación de las Políticas de Seguridad de la Información por
parte de estos.
Los funcionarios y personal provisto por terceras partes, antes de contar con
acceso lógico por primera vez a la red de datos del Instituto de Deporte y
Recreación del Meta, deben contar con el formato de creación de cuentas de
usuario debidamente autorizado y el acuerdo de Confidencialidad firmado
previamente.
Los equipos de cómputo de usuario final que se conecten o deseen conectarse a
las redes de datos del Instituto de Deporte y Recreación del Meta deben cumplir
con todos los requisitos o controles para autenticarse en ellas y únicamente
podrán realizar las tareas para las que fueron autorizados.
Política de Administración de Acceso de Usuarios. El Instituto de Deporte y
Recreación del Meta establecerá privilegios para el control de acceso lógico de cada
usuario o grupo de usuarios a las redes de datos, los recursos tecnológicos y los
sistemas de información de la Entidad. Así mismo, velará porque los funcionarios y el
personal provisto por terceras partes tengan acceso únicamente a la información
necesaria para el desarrollo de sus labores y porque la asignación de los derechos de
acceso esté regulada por normas establecidas para tal fin.
Pautas para Tener en Cuenta
El proceso Gestión de TIC, debe definir lineamientos para la configuración de
contraseñas que aplicarán sobre la plataforma tecnológica, los servicios de red y
los sistemas de información del Instituto de Deporte y Recreación del Meta;
dichos lineamientos deben considerar aspectos como longitud, complejidad,
cambio periódico, control histórico, bloqueo por número de intentos fallidos en la
autenticación y cambio de contraseña en el primer acceso, entre otros.
El proceso Gestión de TIC debe establecer un protocolo que asegure la
eliminación, reasignación o bloqueo de los privilegios de acceso otorgados sobre
los recursos tecnológicos, los servicios de red y los sistemas de información de
manera oportuna, cuando los funcionarios se desvinculan, toman licencias,
vacaciones, son trasladados o cambian de cargo.
INSTITUTO DE DEPORTE Y RECREACION DEL META
POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Versión: 01 Emisión y vigencia: 28-01-2019 Código: Página 12 de 19
NIT. 822002510-6
Sede Administrativa Villa Olímpica
Carrera 16 No. 24-03 Barrio Olimpico Popular
Teléfonos: 6701469-6701465 V/cio (Meta)
Página Web: www.idermeta.gov.co
El proceso Gestión de TIC debe asegurarse que los usuarios o perfiles de
usuario que tienen asignados por defecto los diferentes recursos de la
plataforma tecnológica sean inhabilitados o eliminados.
Es responsabilidad de los propietarios de los activos de información, definir los
perfiles de usuario y autorizar, conjuntamente con el proceso Gestión de TIC, las
solicitudes de acceso a dichos recursos de acuerdo con los perfiles establecidos.
Los propietarios de los activos de información deben verificar y ratificar
anualmente todas las autorizaciones sobre sus recursos tecnológicos y sistemas
de información.
Política de Control de Acceso a Sistemas de Información y Aplicativos. EL
Instituto de Deporte y Recreación del Meta como propietario de los sistemas de
información y aplicativos que apoyan los procesos y áreas que lideran, velarán por la
asignación, modificación y revocación de privilegios de accesos a sus sistemas o
aplicativos de manera controlada.
El proceso Gestión de TIC, como responsable de la administración de dichos sistemas
de información y aplicativos, propende para que estos sean debidamente protegidos
contra accesos no autorizados a través de mecanismos de control de acceso lógico.
Así mismo, vela porque los desarrolladores, tanto internos como externos, acojan
buenas prácticas de desarrollo en los productos generados para controlar el acceso
lógico y evitar accesos no autorizados a los sistemas administrados.
Pautas para Tener en Cuenta
Los propietarios de los activos de información deben autorizar los accesos a sus
sistemas de información o aplicativos, de acuerdo con los perfiles establecidos y
las necesidades de uso, acogiendo los procedimientos establecidos.
Los propietarios de los activos de información deben monitorear anualmente los
perfiles definidos en los sistemas de información y los privilegios asignados a los
usuarios que acceden a ellos.
El proceso Gestión de TIC debe establecer un protocolo para la asignación de
accesos a los sistemas y aplicativos del Instituto de Deporte y Recreación del
Meta.
El proceso Gestión de TIC debe establecer el protocolo y los controles de
acceso a los ambientes de producción de los sistemas de información; así
mismo, debe asegurarse que los desarrolladores internos o externos, posean
acceso limitado y controlado a los datos y archivos que se encuentren en los
ambientes de producción.
El proceso Gestión de TIC debe proporcionar repositorios de archivos fuente de
los sistemas de información; estos deben contar con acceso controlado y
restricción de privilegios, además de un registro de acceso a dichos archivos.
INSTITUTO DE DEPORTE Y RECREACION DEL META
POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Versión: 01 Emisión y vigencia: 28-01-2019 Código: Página 13 de 19
NIT. 822002510-6
Sede Administrativa Villa Olímpica
Carrera 16 No. 24-03 Barrio Olimpico Popular
Teléfonos: 6701469-6701465 V/cio (Meta)
Página Web: www.idermeta.gov.co
Los desarrolladores deben asegurar que los sistemas de información construidos
requieran autenticación para todos los recursos y páginas, excepto aquellas
específicamente clasificadas como públicas.
Los desarrolladores deben certificar que no se almacenen contraseñas, cadenas
de conexión u otra información sensible en texto claro y que se implementen
controles de integridad de dichas contraseñas.
Políticas de Seguridad Física. El Instituto de Deporte y Recreación del Meta provee la
implantación y vela por la efectividad de los mecanismos de seguridad física y control
de acceso que aseguren el perímetro de sus instalaciones en todas sus áreas. Así
mismo, controlará las amenazas físicas externas e internas y las condiciones
medioambientales de sus oficinas.
Todas las áreas destinadas al procesamiento o almacenamiento de información
sensible, así como aquellas en las que se encuentren los equipos y demás
infraestructura de soporte a los sistemas de información y comunicaciones, se
considera áreas de acceso restringido. Se debe tener acceso controlado y restringido a
donde se encuentra los servidores y el cuarto de comunicaciones.
Pautas para Tener en Cuenta
Las solicitudes de acceso al área donde se encuentra el servidor o los centros
de cableado deben ser aprobados por funcionarios que apoyan el proceso
Gestión de TIC autorizados; no obstante, los visitantes siempre deberán estar
acompañados de un funcionario.
El proceso Gestión de TIC debe asegurar que las labores de mantenimiento de
redes eléctricas, de voz y de datos, sean realizadas por personal idóneo y
apropiadamente autorizado e identificado.
El Director General del Instituto de Deporte y Recreación del Meta debe
proporcionar los recursos necesarios para ayudar a proteger, regular y velar por
el perfecto estado de los controles físicos implantados en las instalaciones del
Instituto.
El Director General del Instituto de Deporte y Recreación del Meta debe
identificar mejoras a los mecanismos implantados y de ser necesario, la
implementación de nuevos mecanismos, con el fin de proveer la seguridad física
de las instalaciones de la entidad.
Los ingresos y egresos de personal a las instalaciones del Instituto de Deporte y
Recreación del Meta en horarios no laborales deben ser registrados; por
consiguiente, los funcionarios y personal provisto por terceras partes deben
cumplir completamente con los controles físicos implantados.
Los funcionarios deben portar el carné que los identifica como tales en un lugar
visible mientras se encuentren en las instalaciones del Instituto de Deporte y
Recreación del Meta; en caso de pérdida del carné, deben reportarlo a la mayor
brevedad posible.
INSTITUTO DE DEPORTE Y RECREACION DEL META
POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Versión: 01 Emisión y vigencia: 28-01-2019 Código: Página 14 de 19
NIT. 822002510-6
Sede Administrativa Villa Olímpica
Carrera 16 No. 24-03 Barrio Olimpico Popular
Teléfonos: 6701469-6701465 V/cio (Meta)
Página Web: www.idermeta.gov.co
Política de Seguridad para los Equipos. El Instituto de Deporte y Recreación del
Meta para evitar la pérdida, robo o exposición al peligro de los recursos de la
plataforma tecnológica de la entidad que se encuentren dentro o fuera de sus
instalaciones, proveerá los recursos que garanticen la mitigación de riesgos sobre
dicha plataforma tecnológica.
Pautas para Tener en Cuenta
El proceso Gestión de TIC debe proveer los mecanismos y estrategias
necesarios para proteger la confidencialidad, integridad y disponibilidad de los
recursos tecnológicos, dentro y fuera de las instalaciones del Instituto de
Deporte y Recreación del Meta.
El proceso Gestión de TIC debe realizar soportes técnicos y velar que se
efectúen los mantenimientos preventivos y correctivos de los recursos de la
plataforma tecnológica de la entidad.
El proceso Gestión de TIC en conjunto con el facilitador del proceso Gestión de
Recursos Físicos debe propender porque las áreas de carga y descarga de
equipos de cómputo se encuentren aisladas del área donde se ubica el servidor
y otras áreas de procesamiento de información.
El proceso Gestión de TIC debe generar estándares de configuración segura
para los equipos de cómputo de los funcionarios de la entidad y configurar
dichos equipos acogiendo los estándares generados.
El proceso Gestión de TIC debe establecer las condiciones que deben cumplir
los equipos de cómputo de personal provisto por terceros, que requieran
conectarse a la red de datos de la entidad y verificar el cumplimiento de dichas
condiciones antes de conceder a estos equipos acceso a los servicios de red.
El proceso Gestión de TIC debe generar y aplicar lineamientos para la
disposición segura de los equipos de cómputo de los funcionarios de la entidad,
ya sea cuando son dados de baja o cambian de usuario.
El proceso Gestión de Recursos Físicos debe velar porque la entrada y salida de
estaciones de trabajo, servidores, equipos portátiles y demás recursos
tecnológicos institucionales de las instalaciones del Instituto de Deporte y
Recreación del Meta cuente con la autorización documentada y aprobada
previamente por el área.
Cuando se presente una falla o problema de hardware o software u otro recurso
tecnológico propiedad del Instituto de Deporte y Recreación del Meta, el usuario
responsable debe informar al facilitador del proceso Gestión de TIC, con el fin de
realizar una asistencia adecuada. El usuario no debe intentar solucionar el
problema.
En caso de pérdida o robo de un equipo de cómputo, se debe informar de forma
inmediata al líder del proceso para que se inicie el trámite interno y se debe
poner la denuncia ante la autoridad competente.
INSTITUTO DE DEPORTE Y RECREACION DEL META
POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Versión: 01 Emisión y vigencia: 28-01-2019 Código: Página 15 de 19
NIT. 822002510-6
Sede Administrativa Villa Olímpica
Carrera 16 No. 24-03 Barrio Olimpico Popular
Teléfonos: 6701469-6701465 V/cio (Meta)
Página Web: www.idermeta.gov.co
Los funcionarios de la entidad y el personal provisto por terceras partes deben
asegurar que sus escritorios se encuentran libres de los documentos que son
utilizados durante el desarrollo de sus funciones al terminar la jornada laboral y,
que estos sean almacenados bajo las protecciones de seguridad necesarias.
Política de Uso Adecuado de Internet. El Instituto de Deporte y Recreación del
consciente de la importancia del servicio de Internet como una herramienta para el
desempeño de labores, proporcionará los recursos necesarios para asegurar su
disponibilidad a los usuarios que así lo requieran para el desarrollo de sus actividades
diarias en la entidad.
Pautas para Tener en Cuenta
El proceso Gestión de TIC debe proporcionar los recursos necesarios para la
implementación, administración y mantenimiento requeridos para la prestación
segura del servicio de Internet, bajo las restricciones de los perfiles de acceso
establecidos.
El proceso Gestión de TIC debe diseñar e implementar mecanismos que
permitan la continuidad o restablecimiento del servicio de Internet en caso de
contingencia interna.
El proceso Gestión de TIC debe monitorear continuamente el canal o canales del
servicio de Internet.
El proceso Gestión de TIC debe establecer e implementar controles para evitar
la descarga de software no autorizado, evitar código malicioso proveniente de
Internet y evitar el acceso a sitios catalogados como restringidos.
El proceso Gestión de TIC debe generar registros de la navegación y los
accesos de los usuarios a Internet, así como establecer e implantar el monitoreo
sobre la utilización del servicio de Internet.
Los usuarios del servicio de Internet del Instituto de Deporte y Recreación del
Meta deben hacer uso del mismo en relación con las actividades laborales que
así lo requieran.
Los usuarios del servicio de Internet deben evitar la descarga de software desde
internet, así como su instalación en las estaciones de trabajo para el desempeño
de sus labores.
No está permitido el acceso a páginas relacionadas con pornografía, drogas,
alcohol, hacking y/o cualquier otra página que vaya en contra de la ética moral,
las leyes vigentes o políticas establecidas en este documento.
Los usuarios del servicio de internet tienen prohibido el acceso y el uso de
servicios interactivos o mensajería instantánea como Facebook, Yahoo, Skype y
otros similares, que tengan como objetivo crear comunidades para intercambiar
información, o bien para fines diferentes a las actividades propias del Instituto de
Deporte y Recreación del Meta.
INSTITUTO DE DEPORTE Y RECREACION DEL META
POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Versión: 01 Emisión y vigencia: 28-01-2019 Código: Página 16 de 19
NIT. 822002510-6
Sede Administrativa Villa Olímpica
Carrera 16 No. 24-03 Barrio Olimpico Popular
Teléfonos: 6701469-6701465 V/cio (Meta)
Página Web: www.idermeta.gov.co
No está permitido la descarga, uso, intercambio y/o instalación de juegos,
música, películas, protectores y fondos de pantalla, software de libre distribución,
información y/o productos que de alguna forma atenten contra la propiedad
intelectual de sus autores, o que contengan archivos ejecutables y/o
herramientas que atenten contra la integridad, disponibilidad y/o confidencialidad
de la infraestructura tecnológica (hacking), entre otros.
PRIVACIDAD Y CONFIDENCIALIDAD
Política de Tratamiento y Protección de Datos Personales. En cumplimiento de la
de Ley 1581 de 2012 y reglamentada parcialmente por el Decreto Nacional 1377 de
2013, por la cual se dictan disposiciones para la protección de datos personales, el
Instituto de Deporte y Recreación del Meta a través del Comité de Modelo Integrado de
Gestión y Planeación MIPG, propende por la protección de los datos personales de sus
beneficiarios, proveedores y demás terceros de los cuales reciba y administre
información.
Se establece los términos, condiciones y finalidades para las cuales el Instituto de
Deporte y Recreación del Meta, como responsable de los datos personales obtenidos a
través de sus distintos canales de atención, tratará la información de todas las
personas que en algún momento, por razones de la actividad que desarrolla la entidad,
hayan suministrado datos personales. En caso de delegar a un tercero el tratamiento
de datos personales, el Instituto de Deporte y Recreación del Meta exigirá al tercero la
implementación de los lineamientos y procedimientos necesarios para la protección de
los datos personales. Así mismo, busca proteger la privacidad de la información
personal de sus funcionarios, estableciendo los controles necesarios para preservar
aquella información de la entidad conozca y almacene de ellos, velando porque dicha
información sea utilizada únicamente para funciones propias de la entidad y no sea
publicada, revelada o entregada a funcionarios o terceras partes sin autorización.
Pautas para Tener en Cuenta
Las Unidades de Gestión que procesan datos personales de beneficiarios,
funcionarios, proveedores u otras terceras partes deben obtener la autorización
para el tratamiento de estos datos con el fin de recolectar, transferir, almacenar,
usar, circular, suprimir, compartir, actualizar y transmitir dichos datos personales
en el desarrollo de las actividades de la entidad.
Las Unidades de Gestión que procesan datos personales de beneficiarios,
funcionarios, proveedores u otras terceras partes deben asegurar que solo
aquellas personas que tengan una necesidad laboral legítima puedan tener
acceso a dichos datos.
Las Unidades de Gestión que procesan datos personales de beneficiarios,
funcionarios, proveedores u otras terceras partes deben establecer condiciones
INSTITUTO DE DEPORTE Y RECREACION DEL META
POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Versión: 01 Emisión y vigencia: 28-01-2019 Código: Página 17 de 19
NIT. 822002510-6
Sede Administrativa Villa Olímpica
Carrera 16 No. 24-03 Barrio Olimpico Popular
Teléfonos: 6701469-6701465 V/cio (Meta)
Página Web: www.idermeta.gov.co
contractuales y de seguridad a las entidades vinculadas o aliadas delegadas
para el tratamiento de dichos datos personales.
Las Unidades de Gestión que procesan datos personales de beneficiarios,
funcionarios, proveedores u otras terceras partes deben acoger las directrices
técnicas y procedimientos establecidos para el intercambio de estos datos con
los terceros delegados para el tratamiento de dichos datos personales.
Las Unidades de Gestión que procesan datos personales de beneficiarios,
proveedores u otras terceras partes deben acoger las directrices técnicas y
procedimientos establecidos para enviar a los beneficiarios, proveedores u otros
terceros mensajes, a través de correo electrónico y/o mensajes de texto.
El comité de Modelo Integrado de Gestión y Planeación MIPG debe establecer
los controles para el tratamiento y protección de los datos personales de los
beneficiarios, funcionarios, proveedores y demás terceros del Instituto de
Deporte y Recreación del Meta, de los cuales reciba y administre información.
El proceso Gestión de TIC debe implantar los controles necesarios para proteger
la información personal de los beneficiarios, funcionarios, proveedores u otras
terceras partes almacenada en bases de datos o cualquier otro repositorio y
evitar su divulgación, alteración o eliminación sin la autorización requerida.
Los usuarios y funcionarios deben guardar la discreción correspondiente, o la
reserva absoluta con respecto a la información de la entidad o de sus
funcionarios de cual tengan conocimiento en el ejercicio de sus funciones.
Es deber de los usuarios y funcionarios, verificar la identidad de todas aquellas
personas, a quienes se les entrega información por teléfono, por fax, por correo
electrónico o por correo certificado, entre otros.
DISPONIBILIDAD DEL SERVICIO E INFORMACIÓN.
El Instituto de Deporte y Recreación del Meta, con el propósito de garantizar la
disponibilidad de la información y mantener los servicios orientados con el objetivo de
la entidad y los ofrecidos externamente, a decidió crear una política para proveer el
funcionamiento correcto y seguro de la información y medios de comunicación.
Política de Continuidad, Contingencia y Recuperación de la Información. El
Instituto de Deporte y Recreación del Meta proporcionará los recursos suficientes para
facilitar una respuesta efectiva a los funcionarios y para los procesos en caso de
contingencia o eventos catastróficos que se presenten en la entidad y que afecten la
continuidad de su operación y servicio.
Copias de Seguridad. Toda información que pertenezca a la matriz de activos de
información institucional o que sea de interés para un proceso operativo o de misión
crítica debe ser respaldada por copias de seguridad tomadas de acuerdo a los
procedimientos documentados por el Comité de Modelo Integrado de Gestión y
INSTITUTO DE DEPORTE Y RECREACION DEL META
POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Versión: 01 Emisión y vigencia: 28-01-2019 Código: Página 18 de 19
NIT. 822002510-6
Sede Administrativa Villa Olímpica
Carrera 16 No. 24-03 Barrio Olimpico Popular
Teléfonos: 6701469-6701465 V/cio (Meta)
Página Web: www.idermeta.gov.co
Planeación MIPG. Dicho procedimiento debe incluir las actividades de almacenamiento
de las copias en sitios seguros.
Pautas para Tener en Cuenta
El Comité de Modelo Integrado de Gestión y Planeación MIPG, debe reconocer
las situaciones que serán identificadas como emergencia o desastre para la
entidad, los procesos o las áreas y determinar cómo se debe actuar sobre las
mismas.
El Comité de Modelo Integrado de Gestión y Planeación MIPG, debe liderar los
temas relacionados con la continuidad de la entidad y la recuperación ante
desastres.
El Comité de Modelo Integrado de Gestión y Planeación MIPG debe realizar los
análisis de impacto a la entidad y los análisis de riesgos de continuidad para,
posteriormente proponer posibles estrategias de recuperación en caso de
activarse el plan de contingencia o continuidad, con las consideraciones de
seguridad de la información a que haya lugar.
El Comité de Modelo Integrado de Gestión y Planeación MIPG debe validar que
los procedimientos de contingencia, recuperación y retorno a la normalidad
incluyan consideraciones de seguridad de la información.
El Comité de Modelo Integrado de Gestión y Planeación MIPG, debe asegurar la
realización de pruebas periódicas del plan de recuperación ante desastres y/o
continuidad de entidad, verificando la seguridad de la información durante su
realización y la documentación de dichas pruebas.